Condividere gruppi di nodi single-tenant

I gruppi di nodi single-tenant condivisi sono simili ai gruppi di nodi single-tenant locali. Ad esempio, i gruppi di nodi condivisi hanno lo stesso costo, consumano la stessa quota e rientrano in un progetto principale nella gerarchia delle risorse.

La differenza tra i gruppi di nodi condivisi e i gruppi di nodi locali è che altri progetti della tua organizzazione possono eseguire il provisioning di istanze di macchine virtuali (VM) nei gruppi di nodi condivisi.

La condivisione di un gruppo di nodi in più progetti o in un'organizzazione può aiutarti a svolgere quanto segue:

• Raggruppa i gruppi di nodi che gestisci in un unico progetto e poi condividi questi nodi con altri progetti o con l'intera organizzazione

• Riduci i costi eliminando i nodi dopo aver consolidato le VM di vari progetti in gruppi di nodi sottoutilizzati

• Gestire i nodi single-tenant con un unico team

• Condividere i nodi di proprietà esclusiva con progetti più piccoli e mantenere i confini di sicurezza e controllo dell'accesso tra questi progetti

• Esegui una migrazione live tra gruppi di nodi all'interno dello stesso progetto

• Migliora l'utilizzo dei gruppi di nodi e riduci il numero di nodi di manutenzione riservati quando utilizzi il criterio di manutenzione Esegui la migrazione all'interno del gruppo di nodi

Il seguente diagramma mostra un gruppo di nodi condiviso con altri progetti in modo che gli altri reparti che gestiscono le VM in questi progetti possano eseguire il provisioning delle VM in un gruppo di nodi condiviso.

Vantaggi di utilizzo dei gruppi di nodi condivisi

La tabella seguente mette a confronto i progetti che utilizzano gruppi di nodi locali con i progetti che utilizzano gruppi di nodi condivisi. Tieni presente che il sottoutilizzo delle vCPU diminuisce nei progetti che utilizzano gruppi di nodi condivisi.

Impostazioni per la condivisione di gruppi di nodi

Compute Engine utilizza le seguenti impostazioni per condividere i gruppi di nodi e eseguire il provisioning delle VM nei gruppi di nodi condivisi:

• Un'impostazione di condivisione che configuri quando crei o aggiorni il gruppo di nodi di proprietà singola. Per specificare se condividere il gruppo di nodi con altri progetti o con l'intera organizzazione, utilizza le impostazioni dell'interfaccia alla gcloud CLI (--share-setting, --share-with) o le impostazioni REST (shareSetting, shareWith).

• Un'etichetta di affinità nodo compute.googleapis.com/project predefinita che utilizzi quando esegui il provisioning di una VM in un gruppo di nodi condiviso utilizzando le etichette di affinità nodo. Per informazioni sulle altre etichette di affinità dei nodi predefinite, vedi Etichette di affinità predefinite.

Considerazioni sui criteri di manutenzione

Quando un gruppo di nodi utilizza il criterio di manutenzione Esegui la migrazione all'interno del gruppo di nodi, Compute Engine riserva almeno un nodo per gli eventi di migrazione live, quindi il gruppo di nodi deve avere almeno 2 nodi. Non puoi pianificare le VM sul nodo riservato, pertanto i gruppi di nodi con questo criterio di manutenzione hanno spesso un utilizzo complessivo inferiore. Ciò rende i carichi di lavoro che richiedono il criterio di manutenzione Esegui la migrazione all'interno del gruppo di nodi buoni candidati per la condivisione del gruppo di nodi, in quanto spesso beneficiano maggiormente dell'utilizzo migliorato.

Ruoli e autorizzazioni IAM

Tieni presente le seguenti informazioni su ruoli e autorizzazioni IAM quando condividi un gruppo di nodi:

• Se un gruppo di nodi è condiviso con un progetto, qualsiasi utente che può creare VM nei progetti elencati o nell'organizzazione può eseguire il provisioning delle VM da questi progetti nel gruppo di nodi condiviso senza apportare modifiche ai ruoli o alle autorizzazioni IAM.

• Il ruolo IAM compute.soleTenantViewer ti consente di elencare e visualizzare i gruppi di nodi (interfaccia a riga di comando gcloud / REST). Non puoi modificare i gruppi di nodi con questo ruolo. Qualsiasi utente con questo ruolo o con le autorizzazioni per elencare i gruppi di nodi, indipendentemente dalle autorizzazioni IAM sulla VM, può visualizzare l'ID progetto, il nome, il tipo di macchina e informazioni su SSD locali e GPU per tutte le VM nel gruppo di nodi.

Limitazioni

• Limitazioni del regime di conformità:

  • Indipendentemente dalle autorizzazioni IAM sulla VM, qualsiasi utente con autorizzazioni per elencare i gruppi di nodi può visualizzare l'ID progetto, il nome e il tipo di macchina di tutte le VM nel gruppo di nodi. Pertanto, a causa del rischio di divulgazione di informazioni tra progetti, i progetti per i quali è stato eseguito il provisioning delle VM in gruppi di nodi condivisi devono essere soggetti allo stesso regime di conformità.

• Limitazioni della console Google Cloud:

  • Se non disponi dell'autorizzazione per visualizzare le VM nel gruppo di nodi condiviso, queste VM non verranno visualizzate nell'elenco delle VM nella pagina Nodi di proprietà esclusiva della console Google Cloud.
  • Dopo aver modificato le impostazioni di condivisione nella pagina Gruppi di nodi di proprietà esclusiva, l'impostazione Condiviso con non viene aggiornata nell'interfaccia utente. Per visualizzare l'impostazione aggiornata Condiviso con, vai alla pagina Nodi di proprietà privata.
  • Dopo aver condiviso un gruppo di nodi con tutti i progetti di un'organizzazione o con progetti selezionati all'interno di un'organizzazione, puoi vedere il gruppo di nodi condiviso solo dal progetto proprietario. Non puoi vedere il gruppo di nodi condiviso dai progetti con cui è stato condiviso. Per eseguire il provisioning di una VM nel gruppo di nodi condiviso, vai alla pagina Istanze VM del progetto con cui è condiviso il gruppo di nodi e modifica le etichette di affinità dei nodi single-tenancy.

• Limiti di condivisione:

  • Devi aggiornare le impostazioni di condivisione dal progetto proprietario del gruppo di nodi.
  • Puoi specificare un massimo di 100 progetti quando utilizzi l'impostazione di condivisione projects.
  • Non puoi condividere gruppi di nodi tra organizzazioni. Ad esempio, se esegui la migrazione di un progetto che contiene un gruppo di nodi condivisi da un'organizzazione all'altra, devi eseguire la migrazione anche di tutti i progetti con VM in esecuzione in quel gruppo di nodi condivisi.
  • Non puoi eseguire migrazione live tra progetti se utilizzi gruppi di nodi di proprietà di un solo tenant condivisi. Per ulteriori informazioni, vedi Eseguire la migrazione in tempo reale delle VM manualmente.

Prezzi

Le VM nei gruppi di nodi condivisi non comportano costi aggiuntivi e non sono previsti costi aggiuntivi per la condivisione dei gruppi di nodi. Per ulteriori informazioni sui prezzi dei nodi single-tenant, consulta la sezione Prezzi dei nodi single-tenant.

Prima di iniziare

• Prima di creare un gruppo di nodi single-tenant, crea un modello di nodo single-tenant.
• Prima di eseguire il provisioning delle VM in un nodo single-tenant, controlla la tua quota. A seconda del numero e delle dimensioni dei nodi riservati, potresti dover richiedere una quota aggiuntiva.
• Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Install the Google Cloud CLI, then initialize it by running the following command:

     gcloud init

  2. Set a default region and zone.

  REST

  Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  Per saperne di più, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Creare un nuovo gruppo di nodi e condividerlo

Per creare un nuovo gruppo di nodi e condividerlo con altri progetti o con l'intera organizzazione, utilizza la console Google Cloud, gcloud CLI o REST.

gcloud compute sole-tenancy node-groups create NODE_GROUP \
    --zone=ZONE \
    --node-template=NODE_TEMPLATE \
    --target-size=SIZE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

{
  ...
  "name": NODE_GROUP,
  "nodeTemplate": NODE_TEMPLATE,
  "size": SIZE,
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
  ...
}

Esegui il provisioning di una VM single-tenant in un gruppo di nodi condiviso

Per eseguire il provisioning di una VM monoutente in un gruppo di nodi condiviso, utilizza la console Google Cloud, gcloud CLI o REST.

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-group=NODE_GROUP \
    --node-project=NODE_PROJECT

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-affinity-file=NODE_AFFINITY_FILE

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

{
  ...
  "name": VM_NAME,
  "machineType": MACHINE_TYPE,
  "scheduling": {
    ...
    "nodeAffinities": [
      {
        "key": KEY,
        "operator": OPERATOR,
        "values": [
          VALUE
        ]
      }
    ],
    ...
  },
  ...
}

Visualizzare le impostazioni di condivisione di un gruppo di nodi

Per visualizzare le impostazioni di condivisione di un gruppo di nodi, utilizza la console Google Cloud, gcloud CLI o REST.

gcloud compute sole-tenancy node-groups describe NODE_GROUP

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

Condividere un gruppo di nodi esistente

Per condividere un gruppo di nodi esistente con altri progetti o con l'intera organizzazione, utilizza la console Google Cloud, gcloud CLI o REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
}

Interrompere la condivisione di un gruppo di nodi

Per interrompere la condivisione di un gruppo di nodi con altri progetti o con l'intera organizzazione, utilizza gcloud CLI o REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=local

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": LOCAL
  }
}

Eliminare un gruppo di nodi condiviso dal progetto proprietario

Per eliminare un gruppo di nodi condivisi dal progetto proprietario, utilizza la console Google Cloud, lgcloud CLI o REST. Prima di eliminare un gruppo di nodi, arresta tutte le VM in esecuzione nel gruppo di nodi.

gcloud compute sole-tenancy node-groups delete NODE_GROUP

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP